許多開發者或使用者可能聽過 Proxy(代理伺服器),但你是否知道有一種商業模式,是將一般家庭的網路設備變成「可出租的跳板」?近期 Google 的威脅情報小組(GTIG)聯手 FBI 等機構,成功削弱了一個名為 NetNut(亦被追蹤為 Popa)的大型住宅代理網路。這個網路涉及超過 200 萬台家庭設備,包括智慧電視與串流播放盒。
對於工程師來說,理解這類網路的運作方式至關重要,因為它直接改變了攻擊者繞過安全防禦的手段。
住宅代理網路的運作原理與風險
一般企業或攻擊者在發起大規模請求時,通常使用資料中心(Datacenter)的 IP 位址。然而,現代的資安防禦工具(如 WAF 或防火牆)很容易識別並封鎖這些來自雲端機房的異常流量。
為了規避偵測,攻擊者會使用住宅代理(Residential Proxy)。這是一種將流量轉發至真實家庭用戶 IP 的技術。對目標伺服器而言,這些請求看起來就像是來自普通家庭用戶的正常瀏覽行為,而非自動化腳本。
NetNut 的運作模式就是建立一個巨大的設備池。他們透過兩種主要手段讓程式運行在家庭設備中:第一是預裝在廉價的白牌硬體中;第二是透過提供免費 App 誘騙使用者安裝,將惡意程式隱藏其中。
一旦設備被控制,它就變成了出口節點(Exit Node)。這意味著陌生人的流量會經過你的路由器進入你的家庭網路,然後再發出。這會帶來兩個嚴重的風險:首先,如果有人利用你的 IP 進行非法攻擊,被記錄的將是你的身分;其次,出口節點可能成為攻擊者進入你內部網路的跳板,進而攻擊同網域下的其他設備。
從商業掩護到殭屍網路的爭議
這起事件最特殊之處在於,NetNut 的背後是一家在納斯達克上市的以色列公司 Alarum Technologies。該公司堅稱其軟體是基於使用者同意的頻寬共享,而非殭屍網路(Botnet)。
然而,資安研究人員在分析超過 20 個相關 App 時發現,幾乎沒有任何一個 App 會明確向使用者顯示同意選項。此外,Google 觀察到大量網路犯罪組織與間諜團體利用 NetNut 的出口節點來隱藏真實位置,並執行密碼猜測攻擊(Password Guessing Attacks)。
這種將合法商業外殼與灰色地帶技術結合的作法,讓偵測與法律定義變得非常複雜。
為什麼單次瓦解無法根除問題
Google 這次採取的是降級(Degradation)而非徹底清除(Kill),原因在於這類網路具有極強的韌性,主要來自於轉售計畫(Reseller Program)。
許多看似獨立的代理品牌,實際上只是 NetNut 的轉售商。即便 Google 封鎖了部分節點,營運者只要從其他競爭對手那裡購買容量,就能迅速恢復運作。因此,Google 認為有效的打擊必須是針對多個互連的供應商同時採取行動,就像他們之前處理 IPIDEA 網路以及 Badbox 2.0 殭屍網路一樣。
實務建議與防禦對策
對於一般使用者與工程師,應警惕以下紅旗訊號:
任何聲稱只要分享未使用頻寬就能獲取金錢的 App,幾乎可以確定是住宅代理網路的招募手段。
盡量避免購買來源不明、缺乏品牌保障的廉價串流設備或智慧硬體,這些設備極高機率預裝了後門程式。
在安裝 VPN 或代理工具時,應嚴格檢查其要求的權限,並確保 Google Play Protect 等內建保護機制保持開啟。
對於後端開發者而言,不能單純依賴 IP 分類(如區分資料中心或住宅 IP)來做安全判定,因為住宅 IP 已經成為攻擊者的常態化掩護工具。應更多地關注行為分析(Behavioral Analysis)與異常流量模式,而非僅僅信任 IP 的來源屬性。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。